要揭开杀毒软件神秘的面纱，首先我们要理解一个概念：病毒特征库。要说病毒特征库就必须先理解什么是病毒特征码。

病毒特征码就是杀毒厂商对病毒研究后，从病毒程序中提取出来的一段代码。

这段代码具有唯一性的特点-----与其他病毒不同，正常的程序中是绝对不会出现；

这段代码具有支持病毒的传染性及破坏性的功能-------如果该病毒缺少了这一段代码就失去了病毒原有的传染性及破坏性。

所谓病毒特征库就是是病毒特征码的汇总；它实际上是个数据库。这个数据库也就是杀毒软件的病毒特征库，杀毒软件就是通过它来识别病毒与正常文件，并分别采取相应的杀毒措施。由于病毒是在不断变化的，所以病毒库需要不断的更新升级，否则杀毒软件对新出现的病毒就会无能为力。------现在你明白了杀毒软件为什么老要更新了吧？最主要的就是在更新病毒特征库，当然还有一个就是修补杀毒软件自身程序在扫描、监控、查杀等功能方面的缺陷与漏洞。

我们经常听到一个术语：比对技术。有了上面的描述，对它的定义就非常简单了；杀毒软件在查杀病毒时将可执行文件（或程序）与病毒库中的病毒代码进行比对并确认该文件（或程序）是否为病毒，这就是病毒特征码的比对技术。

下面就谈谈杀毒软件的更新问题，一般来说越好的杀毒软软件更新次数越多，甚至达到每天数次；只有这样它才能识别更多更新的病毒（或木马）。但它同时也带来了另一个问题，频繁的占用系统（网络）资源。-----许多朋友常常说，我机器配置很好啊，杀软也是最好的，系统也是安全的，为什么上网看电影打游戏有时会莫名其妙的掉线啊。其实问题往往就出在你的杀软更新上。------这就是事物的两面性：有所得必有所失。

大家可能对主动防御这个名词并不陌生，最近许多厂商以此大肆宣传；似乎有了主动防御，病毒就无所适从了。事实真是如此吗？好电压在这里就和大家来分析一下所谓主动防御究竟是什么？

主动防御技术，目的是解决“病毒总是出现在杀毒软件更新病毒特征码之前”这个问题。主动防御是为了解决杀毒软件杀毒能力滞后的问题而产生的。主动防御的概念，早在DOS时代就有了，其实说穿了很简单就是一种行为检测技术；即所谓的“病毒行为动作特征库”。因为不论是什么病毒或木马都有共同的特征；（我在浅谈计算机病毒与木马一文中曾明确过病毒木马的一些特征；这里不在赘述。大家可参考该文）；举个例子来说大家就更清楚了，比如大家知道许多木马都是通过修改注册表来实现自启动的；于是乎杀毒软件就监控这种动作，不管这个木马怎么变种总要实现自启动吧。你去变吧，我也不查你的病毒特征码了，我就查你的这个行为动作，只要一发现是搞这个小动作的一律喀嚓！！

牛吧，是够牛！可惜的是应用主动防御之后，还是杀毒软件在明处，病毒/木马在暗处。病毒/木马制作者可以在自己的电脑上安装一套所谓的主动防御软件，然后慢慢研究，无需很长时间，无法“主动防御”的病毒/木马就会诞生。而且根据某位“专家”的说法，国内的杀毒软件要么是买国外的引擎（以至于没有版权，不能深入开发，甚至不能修 正bug），要么烂得可以。只好搞点“新概念”吸引眼球，所以推出了这个主动防御技术。而且在他看来，国内的查杀毒技术10几年来就没有大的进步，搞来搞去就是你抄我我抄他的那一套。这也是广大网友老觉得国内某些杀毒软件就是不好的原因之一。

主动防御技术同时带来了一个严重的后果：误杀。

不可否认，从病毒特征码检测到行为检测，一定程度上减少了“特征库”更新的频率次数，这是个进步。但另一面是误报率反而会增加。举个例子，当行为检测碰上qq——自启动、安装驱动、监听 端口、文件传输、屏幕截图、远程控制、安装IE插件、弹出广告，这么多“恶意行为”集中在一个程序里，是木马吗？当然QQ是被作为特例处理了，可是MSN呢？Skype呢？3721算不算木马？yahoo助手、网易泡泡，还有新的不断增加的IE插件。怎么办？

特别要一提的是目前许多病毒木马模仿杀毒软件的运行方式，以及杀毒软件本身的一些行为与特征也变得与病毒行为开始相似起来（比如老监视端口、有事没事扫描下注册表，看见可疑的就去修改一下等），假如你的电脑上装了两个不同厂商开发的安全与杀毒软件，呵呵，有可能就出现一个认为另一个是病毒这样的情况；所以大家对杀毒（或安全）软件之间的误报也要有一个客观和正确的认识。

值得庆幸的是，大量的病毒和木马制作者也在搞和杀毒软件厂商一样的勾当，抄来抄去，做表面文章。这给主动防御技术提供了一些“客观”的成果！然而不可忽略的是总会个别的“高手”会找到该技术的弱点并加以利用。